Multilingua
NoName057 to Matrice Digitale: we are analyzing the Italian cyber perimeter

In the past month, the National Cybersecurity Agency issued an alert about potential cyber attacks by a Russian group called NoName057(16). Little, if any, damage was reported and Italy responded well unlike many other European countries such as Denmark in these hours under attack in many of its banking infrastructures. Matrice Digitale was able to interviewarligrazie also thanks to a diponibilità shown by the Russian hacktivist group.
Background
The interview was conducted via email with questions not agreed upon and answers arrived without the possibility of debate, it is clarified that the content of the answers provided by the Russian hacktivists DOES NOT reflect the editorial line of the newspaper that publishes them.
Did you go through Italy, did you find anything and were you satisfied with the damage done or did you find a system that was better than your offensive capability?
Italy is one of the most interesting cases in our practice. Satisfaction with our work directly depends on the involvement of Italy in the conflict with Ukraine. The less senseless military support from Italy, the less we will see it as a part of the conflict. We are actively working on the collection, analysis and further elements of the exploitation of threats, including in the segment of Italian networks.
What is your relationship with KillNet? Are you connected to them?
We have a positive attitude towards all hacktivists whose task is to fight against neo-fascism, Russophobia and blind adherence to American hegemonism. We go on our own and are not connected to anyone.
Do you feel more like hacktivists or an APT in the service of the Russian government?
In the soul of each of us lives a hacktivist. Even those who participate in the DDoSia project and do not have special DDoS skills are also hacktivists. We serve the interests of justice and digital freedom. Along the way, we help a huge number of people from all over the world to see that neo-Nazism rising from its knees can and must be defeated. There are definitely no halftones in this fight.
What is your goal? What do you want to prove by your actions?
Our goal is to actively oppose neo-Nazism and fight against those who help it raise its head. We are for justice and against rabid Russophobia.
Do you know that DDOS is closer to kiddie scripts than to cyber attacks by internationally considered hackers?
DDoS is one of our directions. We have guys who are engaged in pentesting, dorking, analytics, translations, flooding, osint. We do not shine these directions (at least we try not to shine) for the reason that the results of such work must be created and live in silence. Part of our work is used by other hack groups. DDoS cannot be hidden in this regard) The volume of publications about us is quite large, but we do not consider this a merit.
What do you expect from war? Are you in favor of peace, against the West? Or do you feel no pity for Ukrainians dying under bombs?
We are not at war, but a special military operation. No one has declared war on anyone. We stand for peace and harmonious coexistence of peoples, including those with Western countries. We are tired of the fact that Western countries are constantly in confrontation with Russia. The NATO military bloc is constantly moving its bases to our borders. If it’s not directed against us, then why is it being done? Ukrainians… We feel sorry for the Ukrainians who died in the House of Trade Unions in Odessa, the murdered children of Luhansk and Donbass. We are incredibly sorry that the current Ukrainian regime has taken its own people hostage. And these people are not able to resist it. Our principle with terrorists is simple – no agreements. What is happening to the Ukrainians is a huge tragedy and grief. Nazism, which is successfully cultivated in Ukraine, has taken too deep roots in society and it has lost the ability to resist and resist this. We will solve this problem.
Multilingua
Ucraina colpita dal quinto Wiper “SwiftSlicer”

L’Ucraina ha subito un nuovo attacco informatico da parte della Russia che ha coinvolto l’impiego di un wiper di dati basato su Golang, precedentemente non documentato, chiamato SwiftSlicer. ESET ha attribuito l’attacco a Sandworm, un gruppo di Stati-nazione collegato all’Unità militare 74455 della Direzione principale dell’intelligence dello Stato maggiore delle Forze armate della Federazione russa (GRU).
“Una volta eseguito, cancella le copie shadow, sovrascrive ricorsivamente i file situati in %CSIDL_SYSTEM%\driver, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS e altre unità non di sistema e poi riavvia il computer”, ha rivelato ESET in una serie di tweet.
Le sovrascritture vengono effettuate utilizzando sequenze di byte generate casualmente per riempire blocchi di 4.096 byte. L’intrusione è stata scoperta il 25 gennaio 2023, ha aggiunto la società slovacca di cybersicurezza. Sandworm, rintracciato anche con i moniker BlackEnergy, Electrum, Iridium, Iron Viking, TeleBots e Voodoo Bear, ha una storia di campagne informatiche dirompenti e distruttive che colpiscono organizzazioni in tutto il mondo almeno dal 2007.
La sofisticazione dell’attore della minaccia è evidenziata dalle sue molteplici catene di morte distinte, che comprendono un’ampia varietà di strumenti personalizzati come BlackEnergy, GreyEnergy, Industroyer, NotPetya, Olympic Destroyer, Exaramel e Cyclops Blink.
Solo nel 2022, in coincidenza con l’invasione militare dell’Ucraina da parte della Russia, Sandworm ha scatenato WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, Industroyer2, Prestige e RansomBoggs contro le infrastrutture critiche in Ucraina. “Se ci pensate, la crescita del malware wiper durante un conflitto non è certo una sorpresa”, ha dichiarato Geri Revay, ricercatore dei FortiGuard Labs di Fortinet, in un rapporto pubblicato questa settimana. “È difficile monetizzarlo. L’unico caso d’uso praticabile è la distruzione, il sabotaggio e la guerra informatica”.
La scoperta di SwiftSlicer evidenzia l’uso costante di varianti di malware wiper da parte del collettivo di avversari russi negli attacchi progettati per creare scompiglio in Ucraina.
Lo sviluppo arriva anche quando il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha collegato Sandworm a un recente attacco informatico, in gran parte fallito, all’agenzia di stampa nazionale Ukrinform. L’intrusione, che si sospetta sia stata effettuata non più tardi del 7 dicembre 2022, ha comportato l’utilizzo di cinque diversi programmi di cancellazione dei dati, ovvero CaddyWiper, ZeroWipe, SDelete, AwfulShred e BidSwipe, mirati ai sistemi Windows, Linux e FreeBSD. “È stato stabilito che la fase finale dell’attacco informatico è stata avviata il 17 gennaio 2023”, ha dichiarato il CERT-UA in un avviso. “Tuttavia, ha avuto un successo solo parziale, in particolare in relazione a diversi sistemi di archiviazione dati”.
Sandworm non è l’unico gruppo che ha messo gli occhi sull’Ucraina. Altri attori russi sponsorizzati dallo Stato, come APT29, COLDRIVER e Gamaredon, hanno attivamente preso di mira una serie di organizzazioni ucraine dall’inizio della guerra.
Multilingua
Medico paga 60.000 dollari in Bitcoin per ingaggiare sicari del dark web
Tempo di lettura: 2 minuti. L’ex neonatologo è stato condannato a otto anni di carcere e gli è stato ordinato di pagare più di 25.000 dollari di restituzione e una multa di 100.000 dollari.

Ronald Craig Ilg, 56 anni, è stato condannato a otto anni di carcere per aver assoldato dei sicari sul dark web per aggredire e rapire le vittime. Il medico di Spokane, Washington, ha pagato 60.000 dollari in Bitcoin come compenso per i compiti che aveva chiesto ai sicari di svolgere. Questo non dovrebbe essere una sorpresa, dato che solo l’anno scorso il Dipartimento di Giustizia degli Stati Uniti ha accusato un cardiologo di aver sviluppato due pericolosi ceppi di ransomware: Thanos e Jigsaw v.2.
Il giudice distrettuale degli Stati Uniti William Fremming Nielsen ha condannato Ilg a 96 mesi di carcere, ordinandogli di pagare più di 25.000 dollari di restituzione e una multa di 100.000 dollari. Anche dopo il rilascio, Ilg sarà sorvegliato per tre anni. L’ex neonatologo ha usato l’anonimato del dark web per indirizzare presunti sicari ad aggredire le sue vittime; la prima è stata un’ex collega, anch’essa medico dell’area di Spokane. Ilg ha pagato ai sicari più di 2.000 dollari in Bitcoin e ha richiesto specificamente che le mani della vittima fossero rotte o comunque ferite in modo significativo. Ha anche chiesto una prova del completamento dell’incarico.
La seconda vittima era la moglie separata. Ha pagato ai criminali circa 60.000 dollari in Bitcoin per rapirla e iniettarle eroina in modo che fosse costretta a rinunciare alle procedure di divorzio. Ha anche promesso ai sicari un bonus se il compito fosse stato portato a termine con successo. Tuttavia, l’FBI è riuscita a intercettare le comunicazioni di Ilg sul dark web e a sventare i suoi piani. All’inizio dell’indagine, Ilg ha dichiarato falsamente di aver incaricato i sicari di uccidere lui, anziché le sue vittime. Ha anche tentato di convincere la testimone chiave a sposarlo per poter controllare la sua testimonianza in tribunale. Si è offerto di pagare le rette scolastiche dei figli di lei per frequentare la St. Aloysius Catholic School e la Gonzaga Preparatory School. Dopo essersi dichiarato colpevole dei suoi crimini, Ilg ha cercato di trarne profitto cercando “un accordo per un libro o un film”. Il giudice Nielsen ha descritto il comportamento di Ilg come “davvero egregio, e persino malvagio”, sottolineando l’ironia delle azioni di Ilg come medico.
“L’obiettivo di un medico nella vita è proteggere le persone, mantenerle in vita, e non fare passi evidenti per fare il contrario”, ha detto.
In un comunicato stampa del Dipartimento di Giustizia, Richard A. Collodi, agente speciale responsabile dell’ufficio di Seattle dell’FBI, ha dichiarato che “questo caso dimostra che nemmeno l’anonimato del dark web impedisce all’FBI di identificare e bloccare individui che sono intenzionati a intraprendere attività criminali”.
Multilingua
I server del gioco dell’oca vengono attaccati ogni giorno con attacchi DDoS
Tempo di lettura: 2 minuti. Il social detective gratuito Goose Goose Duck, che ha recentemente battuto il record di Among Us per il numero di utenti simultanei nel gioco, è costantemente sotto attacco DDoS.

Gli sviluppatori hanno dichiarato di aver già ingaggiato specialisti di cybersicurezza di terze parti per aiutarli ad affrontare il problema. Vi ricordiamo che abbiamo anche scritto che la botnet Mirai RapperBot conduce attacchi DDoS ai server di gioco e che il progetto russo DDOSIA paga volontari per partecipare ad attacchi DDOS contro aziende occidentali. I media specializzati hanno anche riferito che è stato rilevato un attacco DDoS da 2,5 TB/sec mirato a un server Minecraft.
Sebbene Goose Goose Duck, creato da Gaggle Studios, sia stato rilasciato nell’ottobre 2021, per molto tempo gli utenti non l’hanno quasi notato. Solo alla fine del 2022, il gioco è diventato improvvisamente un vero e proprio successo, bissando e superando il successo di Among Us, di cui è, di fatto, un clone gratuito. Così, secondo SteamDB, il picco online di Among Us nel 2020 è stato di 447.476 giocatori, ma Paperino all’inizio di gennaio 2023 ha stabilito un record di 702.845 utenti simultanei nel gioco, che lo rende uno dei giochi più popolari su Steam.
Tuttavia, gli sviluppatori del gioco scrivono che negli ultimi due mesi i server di Goose Goose Duck sono stati costantemente sottoposti ad attacchi DDoS e questo è diventato un grosso problema. A causa degli attacchi, hanno iniziato a verificarsi regolarmente guasti e arresti dei servizi di gioco. Il 14 dicembre abbiamo [per la prima volta] annunciato pubblicamente di aver subito un attacco DDoS. Gli attacchi hanno avuto luogo prima e dopo quel giorno. Siamo sotto attacco da due mesi, ma non volevamo parlarne per non disturbare i giocatori.
“Pensavamo che forse gli attaccanti si sarebbero fermati se avessimo continuato a fornire un buon servizio ai giocatori. Ma non si sono fermati. Chi ci sta attaccando? Abbiamo diverse teorie, ma sarebbe irresponsabile parlarne pubblicamente. Qualsiasi attacco prolungato a un obiettivo è costoso, quindi gli aggressori hanno a disposizione molte risorse. È inoltre molto probabile che si tratti di più gruppi di attaccanti contemporaneamente”.
I creatori di Goose Goose Duck affermano che alla fine sono stati costretti ad assumere specialisti della sicurezza informatica di terze parti, che ora devono aiutare l’azienda a far fronte ai continui attacchi e a stabilizzare il funzionamento dei server di gioco. Chi sia stato coinvolto esattamente nella risoluzione del problema e quali misure siano state offerte agli sviluppatori dai cyber-specialisti ingaggiati non è ancora stato reso noto, poiché l’azienda “non vuole rivelare la strategia” e fornire ulteriori informazioni ai DDoSer.
-
Inchieste3 settimane fa
ChatGPT: i criminali informatici già la usano per sviluppare malware?
-
Inchieste3 settimane fa
La Russia sta perdendo la guerra cibernetica?
-
L'Altra Bolla3 settimane fa
Abbiamo chiesto a ChatGPT della guerra in Ucraina e delle sue cause.
-
OSINT2 settimane fa
Twitter: la sfida tra Corriere e Repubblica è vinta da La Verità
-
Inchieste2 settimane fa
NoName057(16) a Matrice Digitale: stiamo analizzando il perimetro cibernetico italiano
-
L'Altra Bolla2 settimane fa
Ferragni contro Lucarelli: chi ha ragione e chi ha torto
-
L'Altra Bolla2 settimane fa
Shakira e Pique: quando il divorzio fa fare soldi. Altro che Blasi e Totti …
-
L'Altra Bolla2 settimane fa
Greta Thunberg: arrestata dalla polizia tedesca con foto in posa. Che spettacolo !